Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Clop 랜섬웨어 그룹과 관련된 Accellion의 데이터 침해
작성일 2021-02-23 조회 61

재정적으로 동기부여된 해커 그룹과 Clop(클롭) 랩섬웨어 그룹이 결합하여 여러 제로데이 취약점과 새로운 웹 쉘을 이용해 Accellion의 legacy File Transfer Appliance(FTA) 소프트웨어를 사용하는 기업을 대상으로 민감한 데이터를 훔쳤다.

 

이 공격은 2020년 12월 중순에 발생했으며, Clop 랜섬웨어 그룹과 FIN11 그룹이 관련되어 있으며, 이 전 공격과는 달리 Clop 파일 암호화 악성코드는 발견되지 않았다.

 

공격자들은 데이터를 훔친 후, 피해자들이 몸값을 지불하지 않으면 Clop 데이터 유출 사이트에 훔친 정보를 공개하여 피해자들을 위협했다.

 

[그림 1. Clop 랜섬노트]

 

이달 초 BleepingComputer가 Singtel 침해에 대해 보도했을 때, Clop 그룹은 그들에게 연락하여 공격을 통해 73GB의 데이터를 훔쳤다고 말했다. BleepingComputer측은 Singtel의 데이터에 대한 액세스 권한을 얻은 방법을 물었지만 Clop은 해당 정보를 공유하는것을 거절했다.

 

Accellion는 FTA(File Transfer Appliance)를 사용하는 공객이 300명정도 되며, 이러한 고객들 중 100명 미만이 Clop 및 FIN11의 공격을 받았고 25명 미만이 상당한 데이터 유출 피해를 입은 것으로 보인다고 밝혔다.

 

Accellion은 해당 소프트웨어의 사용을 중지하고, Kiteworks로 데이터를 옮길 것을 권고했다. 이는 새로운 코드를 기반으로 한 아키텍처를 특징으로 하며, 분리되어 안전한 devops 프로세스를 포함하는 콘텐츠 방화벽 플랫폼이라고 말했다.

 

Accellion FTA에서 다음과 같은 제로데이 공격이 이루어 진 것이 확인되었다.

* CVE-2021-27101 (SQL Injection)

* CVE-2021-27102 (RCE)

* CVE-2021-27103 (SSRF)

* CVE-2021-27104 (RCE)

 

공격자는 처음에 SQL Injection 취약점을 이용해 액세스 권한을 얻은 후 DEWMODE 웹 쉘을 시스템에 업로드했다.

 

[그림 2. 업로드된 웹 쉘]

 

웹 쉘의 역할은 FTA에 있는 MySQL 데이터베이스에서 사용 가능한 파일 목록을 추출하고 함꼐 제공되는 메타 데이터(파일 ID, 경로, 파일 이름, 업로더 및 수신자)를 HTML 페이지에 나열하는 것이다.

 

침입자는 DEWMODE를 통해 데이터를 훔쳤지만 손상된 시스템을 암호화하진 않았다. 하지만 1월 말, 피해자들은 Clop 랜섬웨어의 유출 사이트에 도난당한 데이터를 게시하겠다는 협박 이메일을 받기 시작했고, 이메일을 분석 한 연구원들은 2020년 8월~12월 사이에 이루어진 피싱 작업에서 FIN11이 해당 IP주소와 이메일 계정 중 일부를 사용했음을 발견했다.

 

또 다른 연결점은 DEWMODE 웹 쉘가 통신하는 데 사용한 IP주소인데, 이는 FIN11이 FRIENDSPEAK 악성코드 다운로더 중 하나에 자주 사용하는 네트워크인 Fortunix Networks L.P.에 할당된다.

 

FireEye의 연구원인 Mandiant는 이러한 FIN11과 UNC2546간의 연결이 매력적이지만, 이는 아직 평가중이며 둘의 감염 벡터가 다르며, 증거가 충분하지 않기 때문에 개별적으로 추적중이라고 설명했다. 

 

출처

https://www.bleepingcomputer.com/news/security/global-accellion-data-breaches-linked-to-clop-ransomware-gang/

첨부파일 첨부파일이 없습니다.
태그 Clop  Accellion